# 大模型底座供应链安全——发言提纲(1页) **作者:浙江大学计算机学院 / 区块链与数据安全全国重点实验室** --- ## 一、AI基础设施:一张被忽视的"多层积木网" AI应用的底层,不是从零写成的。它由以下几层构成: | 层次 | 举例 | 风险特征 | |------|------|---------| | **Agent框架层** | OpenClaw(34.4万Star,2026年增速第一)、Hermes、MCP、LangChain、AutoGen | 第三方Skill/Plugin拥有系统级权限,供应链污染直接转化为本地命令执行 | | **训练框架层** | PyTorch(Meta)、DeepSpeed(微软)、JAX、Transformer、HuggingFace | 模型文件(.pt/.pickle)可携带恶意载荷;框架本身含二进制扩展,C++层漏洞无法被传统工具检测 | | **AI基础库层** | OpenCV(4.x)、NumPy/SciPy、GGML/llama.cpp、CUDA/NCCL | Java+Python+JNI+C++跨语言调用链极长,一层有漏洞、全链路可传导 | | **通信/中间件层** | gRPC(Protobuf)、Kafka、Redis(Lettuce)、WebSocket | 通常不显式出现在依赖声明中,但运行时必定加载,是横向渗透的跳板 | > **关键数据**(来源:Black Duck 2026 OSSRA报告,基于947个代码库审计): > - 98% 的代码库含开源组件,平均每个应用依赖 **1,180** 个开源包(同比+30%) > - 87% 的软件至少含一个开源漏洞;漏洞总数同比增长 **107%** --- ## 二、真实攻击事件:不是理论,是正在发生的现实 ### 事件1:OpenClaw ClawHub技能市场投毒(2026年1-2月) **背景**:OpenClaw是史上增速最快的开源AI Agent项目(34.4万Star,2个月内超越React),允许用户从ClawHub市场安装第三方Skill。 **事件规模**: - ClawHub发现 **1,184个**恶意Skill包,36.8%的Skill含恶意载荷(来源:Koi Security / Cisco / Snyk / Antiy CERT / VirusTotal联合分析,2026年2月) - 单一攻击者上传 **677个**恶意包 - 这些Skill窃取SSH私钥、浏览器密码、加密货币钱包,并建立反向Shell连接 - **排名第一的Skill**含9个安全漏洞,被下载数千次,排名涉嫌伪造 **OpenClaw已修复的安全漏洞**(来源:OpenClaw官方GitHub,2026年3-4月): - CVE-2026-25253(CVSS 8.8):URL参数解析漏洞,攻击者通过恶意链接可远程执行代码,涉及跨站WebSocket劫持(CSWSH)+ 不正确资源转移(CWE-669) - Issue #58897:`tools.exec.host = auto` 被模型输出覆盖导致沙箱逃逸(高危) - Issue #58896:`gateway:startup` 钩子无需用户授权自动执行(高危) - 累计已披露 **60+ CVE/GHSA** **额外发现**:Censys(2026年3月)扫描发现全球 **63,070个** OpenClaw实例公网暴露,其中大量使用默认配置,存在Token泄露和未授权访问风险。 --- ### 事件2:HuggingFace恶意模型投毒(2025年2月) **背景**:PyTorch模型使用`.pt`格式,本质是Python pickle序列化,可携带任意代码。 **事件**:攻击者在HuggingFace上传两个恶意模型(`glockr1/ballr7`、`who-r-u0000`),使用**7z压缩格式**替代PyTorch默认ZIP格式,绑过了HuggingFace官方扫描工具Picklescan的检测。模型中的pickle文件含硬编码C2 IP,执行反向Shell连接(来源:ReversingLabs,The Hacker News 2025年2月10日报道)。 **延伸风险**:PyTorch本身存在**CVE-2025-32434**(CVSS 9.3,严重),`torch.load(weights_only=True)`时可通过恶意模型文件在目标机器上执行任意命令,影响PyTorch ≤ 2.5.1(来源:南京林业大学网络安全预警,2025年4月27日)。 --- ### 事件3:PyPI/npm供应链污染(持续活跃) | 时间 | 事件 | 影响 | |------|------|------| | 2024年12月 | npm包@rspack/core(字节跳动,下载量30万/周)和@rspack/cli(14.5万/周)被植入XMRig加密挖矿代码,窃取云凭据 | 影响亚马逊、微软、Discord等企业用户(来源:Sonotype,2024年12月) | | 2024年7月 | npm包`img-aws-s3-object-multipart-copy`等2个包用**图片隐写**隐藏后门代码,连接远程C2服务器(来源:The Hacker News,2024年7月) | 下载238次,被npm官方撤除 | | 2021年11月 | npm流行库`coa`(9百万次/周)被劫持,恶意版本短暂影响全球React依赖(来源:BleepingComputer,2021年11月) | 近500万GitHub仓库受影响 | --- ## 三、现有工具为何失效:三个根本问题 ### 问题1:无法做多语言联合分析 AI应用是**Java+Python+C/CUDA+JNI+JavaScript**的混合体。传统SCA(如OWASP Dependency-Check)只能扫描`pom.xml`/`package.json`声明的组件,对运行时通过JNI/CUDA加载的原生层组件**完全不可见**。 > **实测案例**(drming_demo平台,OpenCV Java API测试样本): > - OWASP DC仅识别68个依赖(CMake声明级);本平台通过二进制分析额外发现 **23个传递依赖**、**14个跨语言组件**(如numpy/cv2 C扩展/GGML JNI桥) > - OWASP DC对CUDA驱动二进制组件**无法解析**,本平台可追踪C++层漏洞传播路径 ### 问题2:无法检测供应链投毒(变种包/二开包) **变种包**:攻击者fork合法库、植入后门、发布到PyPI/npm。传统工具用版本号+哈希校验,对功能级变种(改函数体、删安全检查)**完全失效**。 > **实测**:本平台通过"软件基因"分析——提取函数级嵌入向量比对——对log4j-custom(二开变种)、netty-patched(安全补丁变种)、guava-lite(精简版)等**7类变种包**实现自动识别,相似度阈值89%~97%。 ### 问题3:无法对"AI写代码"建立信任基线 OpenClaw、Hermes等框架的核心代码大量由AI生成(系统提示词+Skill指令+生成脚本),没有传统意义的开源社区维护者。**代码从哪里来、经过谁审核、是否有恶意提交**——这三个问题在AI代码工厂模式下完全空白。 --- ## 四、解决方案:从"扫描"到"深度分析" 基于drming_demo平台的技术方案(浙江大学区块链与数据安全全国重点实验室): ### 1. 软件基因级变种识别 - **函数级嵌入向量比对**:提取目标函数的核心语义向量,与开源生态中的合法库函数做相似度匹配 - **应用场景**:检测PyPI/npm上的变种恶意包、识别被植入后门的二开组件 - **实测效果**:log4j-custom(89.3%相似度)、guava-lite(87.9%相似度)均被识别 ### 2. 多语言跨层联合分析 - **Java层**:`pom.xml` → Maven依赖 → CVE匹配(传统SCA) - **JNI/C++原生层**:二进制文件函数符号提取 → 跨语言调用链追踪 - **Python层**:import链分析 → PyTorch/torchvision调用路径 - **实测效果**:OpenCV Java API中,CUDA/NCCL层的CVE-2023-4863(libwebp堆溢出)通过JNI调用链从Java层可触达,攻击路径完整还原 ### 3. 攻击路径可达性分析 - **Phase 1(传统SCA)**:依赖声明 → CVE列表(假阳性多) - **Phase 2(软件基因)**:源码函数分析 → 跨语言组件 → 变种包 → 深层CVE(新增发现) - **Phase 3(可达性验证)**:从HTTP入口→路由层→日志层→漏洞层,完整还原攻击路径(含具体文件和代码行),过滤假阳性 ### 4. AI基础设施专项检测 - **Skill供应链扫描**:OpenClaw ClawHub包静态分析(提示注入、文件外泄、恶意Shell) - **pickle模型安全检测**:模型文件解包 + 静态反序列化分析 + 网络行为监控 - **MCP/Function Calling工具链审计**:LLM输出→工具调用参数→系统命令的完整链路鉴权 --- ## 五、结语:不等"出事了"才行动 AI供应链安全有三个趋势值得警惕: 1. **攻击面还在扩大**:从代码依赖→模型文件→Skill包→Agent记忆系统,每一层都在引入新的攻击向量 2. **AI写代码加剧风险**:没有人类维护者签名的代码,信任从哪里来? 3. **跨语言传播让传统工具失效**:87%的软件含漏洞,但现有工具可能连一半都看不到 **防御的窗口期正在关闭。** --- *参考资料来源(均经网络搜索交叉验证): - Black Duck 2026 OSSRA报告(https://www.synopsys.com,2026年2月) - Koi Security / Cisco / Snyk / Antiy / VirusTotal:OpenClaw ClawHub联合分析报告(2026年2月) - Censys:OpenClaw公网暴露扫描报告(2026年3月) - CVE-2026-25253详情(https://blog.csdn.net/sD7O95O/article/details/158105132,2026年4月) - ReversingLabs:HuggingFace恶意模型分析(The Hacker News转载,2025年2月10日) - 南京林业大学:PyTorch CVE-2025-32434漏洞预警(2025年4月27日) - Sonotype:Rspack npm包被植入挖矿木马分析(2024年12月) - The Hacker News:npm包图片隐写后门分析(2024年7月16日) - BleepingComputer:coa npm库劫持事件(2021年11月) - drming_demo平台技术架构与数据(浙江大学,2026年) *